Fachartikel & News

Datenschutz: Die Safe-Harbor- Entscheidung des EuGH

Der Europäische Gerichtshof (EuGH) hatte mit dem viel beachteten Urteil vom 6. Oktober 2015 nach Vorlage des irischen High Courts entschieden, dass das Safe-Harbor-Abkommen kein aus europäischer Sicht angemessenes Datenschutzniveau bildet und die (irische) Datenschutz-Aufsichtsbehörde die rechtliche Befugnis hat, eine Datenübermittlung auf Basis des Safe-Harbor-Abkommens zu untersagen.


Sachverhalt

Dem Urteil ist eine Beschw­erde des Öster­re­ich­ers Max Schrems voraus­ge­gan­gen, ob die irische Daten­schutzbe­hörde prüfen muss, ob Face­book per­so­n­en­be­zo­gene Dat­en in die USA über­tra­gen darf. Die Behörde hielt sich nicht für zuständig, dies zu prüfen. Zum einen sei Face­book den Safe-Har­bor-Regeln unter­wor­fen und zum anderen würde Face­book die Safe-Har­bor- Bedin­gun­gen ein­hal­ten.

Hintergrund

Die Über­mit­tlung von per­so­n­en­be­zo­ge­nen Dat­en in ein außereu­ropäis­ches Land ist nach dem Daten­schutzrecht nur dann erlaubt, wenn dort ein angemessenes Schutzniveau für die Dat­en gewährleis­tet ist. In den USA bestand kein angemessenes Daten­schutzniveau. In Staat­en ohne ein angemessenes Daten­schutzniveau kann ein solch­es den­noch angenom­men wer­den, wenn eine Vere­in­barung mit der EU beste­ht, die ein angemessenes Daten­schutzniveau sich­er­stellt. Dabei muss sich die Dat­en emp­fan­gende Stelle der Vere­in­barung unter­w­er­fen. Das Safe-Har­bor-Abkom­men ist eine solche Vere­in­barung.

Prob­lema­tisch ist vor allem der US Patri­ot Act, der amerikanis­chen Ermit­tlungs­be­hör­den weitre­ichende Ein­griff­s­rechte gibt. Das Safe-Har­bor-Abkom­men hat der EuGH schließlich für unwirk­sam erk­lärt. Damit ent­fällt die Ver­mu­tung der Ein­hal­tung der europäis­chen Daten­schutzregelun­gen und das Safe-Har­bor-Abkom­men stellt keine aus­re­ichende Grund­lage für eine Datenüber­tra­gung in die USA durch Unternehmen wie Face­book mehr dar.

In sein­er Pressemit­teilung vom 6. Okto­ber teilte der EuGH abschließend mit: „Dieses Urteil hat zur Folge, dass die irische Daten­schutzbe­hörde die Beschw­erde von Her­rn Schrems mit aller gebote­nen Sorgfalt prüfen und am Ende ihrer Unter­suchung entschei­den muss, ob nach der Richtlin­ie die Über­mit­tlung der Dat­en der europäis­chen Nutzer von Face­book in die Vere­inigten Staat­en auszuset­zen ist, weil dieses Land kein angemessenes Schutzniveau für per­so­n­en­be­zo­gene Dat­en bietet.“

Praktische Konsequenzen

Sämtliche amerikanis­chen Anbi­eter von Online-Tools – um einige bekan­nte Unternehmen zu nen­nen wie Ama­zon Cloud Ser­vices, Apple, Drop­box, Google, Mailchimp Microsoft, Sales­force oder Skype – sind betrof­fen. Entschei­dend ist jedoch, ob per­so­n­en­be­zo­gene Dat­en in die USA über­tra­gen wer­den. Beispiele für Anbi­eter, die per­so­n­en­be­zo­gene Dat­en über­tra­gen, sind Cloud-Anbi­eter, Anbi­eter von Host­ing-Sys­te­men und von Web­seit­en-Analy­se­tools.

Die Anbi­eter reagieren nun auf ver­schiede­nen Wegen. So wird Microsoft die Dien­ste Azure, Office 365 und CRM Online zukün­ftig auch aus zwei deutschen Rechen­zen­tren anbi­eten, deren Zugang T‑Systems wird dabei als Treuhän­der überwachen wird. Andere Anbi­eter bieten häu­fig den Abschluss von Stan­dard­ver­tragsklauseln an.

Alternativen zum Safe-Harbor-Abkommen

Um ein angemessenes Daten­schutzniveau sicherzustellen, gibt es ver­schiedene Möglichkeit­en. Die in der Fach­lit­er­atur am meis­ten benan­nten Alter­na­tiv­en sind:

  • die aus­drück­liche Ein­willi­gung der Datenüber­mit­tlung in die USA,
  • die Ver­wen­dung von EU-Stan­dard­ver­tragsklauseln, mit denen sich der Dien­stleis­ter ver­traglich den wesentlichen Regelun­gen der EU zum Daten­schutz unter­wirft oder
  • der Ein­satz von Dien­stleis­tern, die Dat­en in der EU, dem EWR oder in sicheren Drit­tlän­dern spe­ich­ern. Dies erfol­gt durch Ver­wen­dung von Bind­ing Cor­po­rate Rules, also der rechtlich verbindlichen Imple­men­tierung von Unternehmen­sregelun­gen (Pri­va­cy Pol­i­cy) zum Umgang mit per­so­n­en­be­zo­ge­nen Dat­en im Konz­ern.

Erste Handlungsempfehlungen

Als ersten Schritt soll­ten Sie sich eine Liste der Dien­stleis­ter erstellen, die per­so­n­en­be­zo­gene Dat­en in die USA auf Grund­lage des Safe-Har­bor-Abkom­mens über­mit­teln. Die EU-Daten­schutzbe­hör­den haben eine Art Schon­frist bis Ende Jan­u­ar 2016 aus­ge­sprochen und Stan­dard­ver­tragsklauseln aus­drück­lich als zunächst weit­er­hin ver­wend­bar erk­lärt. Die Posi­tion­ierung der deutschen Daten­schutza­uf­sichts­be­hör­den, die bish­er unein­heitlich war, sollte unbe­d­ingt beobachtet wer­den. So hat­te Anfang Okto­ber 2015 das Unab­hängige Lan­deszen­trum für Daten­schutz (ULD) aus Schleswig-Hol­stein Bedenken gegen die von der EU-Kom­mis­sion emp­fohle­nen Auswe­ich­maß­nah­men geäußert.

In einem Posi­tion­spa­pi­er hat die Kon­ferenz der unab­hängi­gen Daten­schutzbe­hör­den des Bun­des und der Län­der vom 21.10.2015 Unternehmen aufge­fordert, unverzüglich ihre Ver­fahren zum Daten­trans­fer daten­schutzgerecht zu gestal­ten. Lei­der bleibt im Posi­tion­spa­pi­er offen, wie dies in der Prax­is erfol­gen soll. Aber auch Bun­desregierung, Bun­destag, Kom­mis­sion, Rat und Par­la­ment der EU wur­den aufge­fordert, für Rechtssicher­heit zu sor­gen. Die Kon­ferenz hat zudem angekündigt, auss­chließlich auf Safe Har­bor gestützte Datenüber­mit­tlun­gen in die USA zu unter­sagen und stellt auch die Zuläs­sigkeit der Daten­trans­fers in die USA auf der Grund­lage der anderen hier­für einge­set­zten In­strumente wie die Stan­dard­ver­tragsklauseln oder die verbindlichen Unternehmen­sregelun­gen infrage.


Bei Fra­gen sprechen Sie uns gerne an.

This is a unique website which will require a more modern browser to work! Please upgrade today!