6. Oktober 2015
Safe-Harbor Datenschutz
Datenschutzrecht

Datenschutz: Safe-Harbor-Abkommen mit den USA unwirksam

EuGH: Die Safe Harbor Entscheidung der EU-Kommission, wonach die USA ein angemessenes Niveau im Datenschutz gewährleisten, ist unwirksam.

Personenbezogene Daten dürfen von der EU ins Ausland übertragen werden, wenn im Ausland ein angemessenes Datenschutzniveau gewährleistet wird. Für die USA hat die Kommission im Jahr 2000 festgestellt, dass ein angemessenes Datenschutzniveau bei solchen Unternehmen in den USA anzuerkennen ist, die sich den Safe-Harbor-Regelungen unterworfen haben (2000/520/EG). Unternehmen durften personenbezogene Daten aus der EU also ohne weitere Einschränkungen in die USA übertragen, wenn das empfangende Unternehmen sich dem entsprechenden Safe-Harbor-Regelwerk unterworfen hatte.

Entscheidung des EuGH: Safe-Harbor-Entscheidung ungültig

Der EuGH hat nunmehr entschieden (C-362/14) dass eine Safe-Harbor-Zertifizierung eines US-amerikanischen Unternehmens einen Datentransfer von der EU in die USA nicht mehr rechtfertigt. Der Entscheidung liegt die Klage von Max Schrems zu Grunde, der die Verwertung von Daten bei Facebook als rechtswidrig kritisiert.

Die wesentlichen Argumente des EuGH

Nach der Entscheidung des EuGH genügen die Safe-Harbor-Regelungen nicht, um festzustellen, dass die USA ein angemessenes Datenschutzniveau gewährleisten. Der Gerichtshof argumentiert unter anderem damit, dass amerikanische Unternehmen nach nationalem Recht ohne jede Einschränkung verpflichtet seien, Safe-Harbor-Regelungen außer Acht zu lassen, wenn sie in Widerstreit zu den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen der USA stehen. Die Safe-Harbor-Regelungen ermöglichen also Eingriffe amerikanischer Behörden in die Grundrechte betroffener Personen. Dies genügt nach der Entscheidung des EuGH nicht, um ein angemessenes Datenschutzniveau zu gewährleisten.

Wer ist betroffen? 

Betroffen sind Unternehmen, die personenbezogene Daten in der EU erheben und in die USA übermitteln. Dazu zählen etwa:

  • Hosting auf Servern in den USA
  • Cloud-Services, die von den USA aus erbracht werden
  • Übermittlung von Daten an Dienstleister in den USA, z.B. zur weiteren Verarbeitung
  • Übermittlung von Daten an die US-amerikanische Konzernmutter oder an US-amerikanische Tochterunternehmen 

Konsequenzen für die Praxis: pauschaler Verweis auf Safe-Harbor nicht mehr möglich

Betroffene Unternehmen können sich nicht mehr darauf berufen, dass das die personenbezogenen Daten empfangende Unternehmen in den USA nach Safe Harbor zertifiziert ist. Der EuGH stellt fest, dass es den nationalen Datenschutzbehörden obliege, jede einzelne Datenübertragung zu genehmigen. Es ist zu erwarten, dass sich Datenschutzbehörden ablehnend einer Datenübermittlung in die USA äußern. Eine Äußerung der verschiedenen Aufsichtsbehörden oder der Artikel 29 Arbeitsgruppe stehen derzeit noch aus.

Wer den Urteilstext genau liest, stellt sich die Frage, was künftig überhaupt noch Grundlage für eine Übermittlung von personenbezogenen Daten an Stellen außerhalb der EU/des EWR sein soll. Auch die Vereinbarung von EU-Standardvertragsklauseln (Model Clauses) oder Binding Corporate Rules, nach bisheriger Rechtslage eine sichere, wenn auch wegen Haftungsrisiken bzw. langwieriger Genehmigung oft ungeliebte Option zu Herstellung des angemessenen Datenschutzniveaus, scheint nach Auffassung des Gerichts keine ausreichende Grundlage zu sein, um die Anforderungen aus der Grundrechte-Charta zu erfüllen. Es bleibt abzuwarten, wie die Aufsichtsbehörden das Urteil interpretieren.

Fest steht jedenfalls, dass der bisher so oft verwendete, pauschale Verweis auf eine Safe-Harbor-Zertifizierung künftig wirkungslos ist.

Tags: Datenschutzrecht & Recht der IT-Sicherheit Safe Harbor