Zurück zur Übersicht
25.09.2015Fachbeitrag

Update Datenschutz 01

Sicherer Hafen für den Datenschutz unter Beschuss

Safe Harbor ist ungültig. Nationale Aufsichtsbehörden können bei der Beurteilung des Datenschutzniveaus eines Drittlandes von Kommissionsentscheidung abweichen. Zu diesem Ergebnis gelangt jedenfalls der Generalanwalt des EuGH in einem Rechtsstreit gegen die irische Datenschutzaufsichtsbehörde. Da der EuGH häufig den Ausführungen des Generalanwalts folgt, müssen sich viele Unternehmen nun sehr schnell auf den Worst-Case vorbereiten: Der datenschutzrechtlichen Abschottung der Europäischen Union zu den Vereinigten Staaten und möglicherweise zu weiteren Teil der Welt. Betroffen hiervon ist eine Vielzahl von Unternehmen, die personenbezogene Daten in die USA übermitteln, etwa weil besonders günstige Cloud-Computing Modelle US-amerikanischer Anbieter wahrgenommen werden. Besondere Bedeutung erlangt das Thema auch für Konzerne mit Niederlassungen auf beiden Seiten des Atlantiks: Der Übermittlung einer Vielzahl von Personal- und Kundendaten könnte hier bald ein Riegel vorgeschoben werden.

Rechtlicher Hintergrund der Empfehlung des Generalanwaltes

Der Streit begann, als sich der Datenschützer Maximilian Schrems und sein Verein „Europa versus facebook“ bei mehreren nationalen Datenschutzaufsichtsbehörden über den Datentransfer in die USA durch Facebook und andere US-Konzerne beschwerte. Tatsächlich verbietet die EU-Datenschutzrichtlinie (95/46/EG) in Art. 25 die Übermittlung von personenbezogenen Daten in ein Drittland, welches nicht über ein “angemessenem Datenschutzschutzniveau” verfügt.

Seit 2000 Safe Harbor

Dies stand einer Übermittlung von Daten in die USA aber lange nicht im Wege, da hier entweder das Safe Harbor Abkommen oder die sogenannten Standardvertragsklauseln der EU-Kommission halfen, die bestehenden Datenschutzdefizite zu nivellieren. Gemäß der Kommissionsentscheidung 2000/520/EC, galt der Transfer an ein US-Unternehmen, welches sich gemäß dem Safe Harbor Kriterien in den USA zertifiziert hatte, als ein „sicherer“ Datentransfer mit „angemessenem Schutzniveau“. Lange Zeit entsprach es trotz wachsender Kritik an Safe Harbor dem üblichen Vorgehen, das die Datenschutzaufsichtsbehörden der europäischen Nationalstaaten einen durch Safe Harbor gedeckten Datentransfer in die USA nicht weiter hinterfragten. Dementsprechend berief sich die irische Datenschutzaufsichtsbehörde, bei der Schrems die Beschwerde gegen facebook eingereicht hatte, ebenfalls auf Safe Harbor und wies die Beschwerde zurück. Die hiergegen eingereichte Klage wurde durch den irischen High Court dem EuGH zur Vorabentscheidung vorgelegt.

Gretchenfrage an den EuGH

Das irische Gericht stellte dem EuGH die Frage, ob die Datenschutzaufsichtsbehörden an die Safe-Harbor-Entscheidung der EU-Kommission gebunden sind, wenn sie über einen Datentransfer in ein unsicheres Drittland entscheiden.

Antwort des Generalanwalts

Der Generalanwalt des EuGH bejahte diese Frage. Er stellt fest, dass aufgrund der Verpflichtung der Nationalstaaten zur Durchsetzung der wichtigen Datenschutz-Grundrechte aus Art 7. und 8. der europäischen Grundrechtecharta jedem Staat das Recht verbleiben muss, selbst in Einzelfällen das Datenschutzniveau eines Drittstaates zu überprüfen. Über diese Frage hinausgehend hat sich der Generalanwalt aber auch mit dem konkreten Fall der Datenübermittlung in die USA beschäftigt und in diesem Rahmen über die Rechtswirksamkeit der Safe Harbor-Entscheidung der Kommission befunden. Aufgrund der mangelhaften Durchsetzbarkeit von Safe Harbor für europäische Bürger und aufgrund der weiten Ausnahmeregelung, welche die Spionage durch Geheimdienste gestattet, kommt der Generalanwalt zu dem Schluss, dass die Kommission die Anwendbarkeit von Safe Harbor hätte aussetzen müssen. Der Generalanwalt empfiehlt dem EuGH, Safe Harbor für nichtig zu erklären.

Sind auch die Standardvertragsklauseln betroffen?

Unklar ist derzeit, ob auch die Standardvertragsklauseln, das andere Werkzeug um relativ unkompliziert Datentransfers in die USA zu erledigen, angesichts dieser Argumentation ebenfalls von einer Entscheidung des EuGH zu Safe Harbor betroffen sein könnte. Auch die Standardvertragsklauseln führen – ebenso wie Safe Harbor –  gemäß einer Kommissionsentscheidung dazu, dass ein Datentransfer an ein Unternehmen, welches sich gemäß den Standardvertragsklauseln verpflichtet hat, als ein Datentransfer in ein sicheres Drittland gilt. Jedenfalls ist es den nationalen Aufsichtsbehörden nach der Argumentation des Generalanwalts gestattet, eigenständig zu ermitteln, ob der Datentransfer die Vorgaben des europäischen Datenschutzniveaus erfüllt. Gelangt eine Behörde zu dem Ergebnis, dass das Unternehmen im konkreten Einzelfall – trotz unterschriebener Standardvertragsklauseln – kein adäquates Datenschutzniveau aufweist, kann die Datenübermittlung untersagt und per Bußgeld geahndet werden. Die deutschen Datenschutzaufsichtsbehörden haben in der Vergangenheit im Rahmen der Kritik an Safe Harbor angedeutet, die Verwendung der Standardvertragsklauseln ebenfalls kritisch zu hinterfragen. Andererseits gewähren die Standardvertragsklauseln den Betroffenen direkte einklagbare Rechte gegen die datenverarbeitenden Unternehmen und enthalten auch im Übrigen strengere Vorgaben als die relativ unkonkreten Safe Harbor-Prinzipien, beides Aspekte, die nach Meinung des Generalanwalts bei Safe Harbor zu schwach ausgestaltet sind. Die Zukunft der Standvertragsklauseln muss dennoch zumindest als offen bezeichnet werden.

Auswirkungen auf Datentransport in wei-tere Länder mit geringem Rechtstaatsniveau?


Dies gilt, zumal der Generalanwalt in seiner Argumentation deutlich darauf abstellte, dass der rechtlich nicht präzise geregelte Zugriff auf personenbezogene Daten durch ausländische Geheimdienste – ohne faktische Möglichkeiten eines Rechtschutzes – ein Verstoß gegen Art. 7 und 8 der europäischen Grundrechtscharta darstellt. Diese Argumentation ist 1 zu 1 auf eine Reihe von weniger demokratisch und rechtstaatlich organisierten Staaten übertragbar. Vor diesem Hintergrund könnten in Zukunft auch Datenübertragungen etwa nach China oder eine Reihe afrikanischer Staaten – trotz Verwendung von Standardvertragsklauseln – untersagt werden.

To Do aus Unternehmenssicht

Soweit die Datenübermittlung in die USA bislang ausschließlich auf einer Safe Harbor Zertifizierung beruhte, sollten möglichst rasch alternative Lösungen geprüft werden. Ob diese in Standardvertragsklauseln zu sehen ist, muss derzeit allerdings als ungewiss gelten. Eine frühzeitige Kommunikation mit der Datenschutzaufsichtsbehörde ist hier möglicherweise ebenfalls eine Alternative, wobei die nationalen Behörden sich bis zur Entscheidung durch den EuGH sicherlich kaum zu definitiven Aussagen hinreißen lassen werden.  Dies bedeutet, dass auch rein faktische Lösungen, also eine Verlagerung der Datenverarbeitung nach Europa, schnell geprüft und vorbereitet werden muss, um zur Not nach diesem rettenden Strohhalm greifen zu können. Bei Neubeschaffung von IT-Leistungen sollte von Beginn an eine europäische Lösung in den Fokus gestellt werden.

Als PDF herunterladen
Als PDF herunterladen

Weitere Artikel

12.04.2024
Gesundheitsreform 2024: Neue Versorgungsformen
11.04.2024
Semester Kick-off Event der EBS Law School
10.04.2024
Verschärfungen für Lobbyisten – Die Gesetzesänderungen im Lobbyregistergesetz zum 1. März 2024
09.04.2024
Lustiger Abend mit kleinem Sport-Turnier
05.04.2024
BGH zum Umgang mit Aufklärungspflichten bei Transaktionen
27.03.2024
Reform des Fachkräfteeinwanderungsgesetzes: Neuregelungen zur Erwerbsmigration nach Deutschland
27.03.2024
Ausgabe von Getränken und Getränkemarken an Arbeitnehmer als Arbeitsentgelt
27.03.2024
Kürzung der Vergütung eines Betriebsrates
27.03.2024
Arbeitsunfähigkeit bei regelmäßigem Bereitschaftsdienst – Gutschrift auf dem Arbeitszeitkonto
27.03.2024
Klassiker Arbeitszeugnis: Wie sieht ein „gehöriges“ Zeugnis aus?
27.03.2024
Männlicher Bewerber als „Sekretärin“ - Befangenheit aller LAG-Richter
27.03.2024
Keine Vergütung für nicht erbrachte Arbeitsleistung im Homeoffice

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.