Der EuGH hat die Safe-Harbor Entscheidung für unwirksam erklärt. Datenexporte nach EU-Standardverträgen und Binding Corporate Rules sind ebenfalls zu prüfen.
Kontext der Safe-Harbor Entscheidung
Personenbezogene Daten aus der Europäischen Union dürfen nach der Datenschutzrichtlinie (RL 95/46/EG – DSRL) nur in Drittstaaten mit einem „angemessenen Schutzniveau“ übertragen werden. Nach der Safe-Harbor Entscheidung der Europäischen Kommission (2000/520/EG – Safe-Harbor) war ein angemessenes Datenschutzniveau bei selbstzertifizierten amerikanischen Unternehmen zu unterstellen. Mit Urteil vom 06.10.2015 (C-362/14) hat der EuGH die Safe-Harbor Entscheidung für ungültig erklärt. Datenexporte in die USA können nun nicht mehr auf die Safe-Harbor Entscheidung gestützt werden. Über alternative Instrumente der Datenexporte wie Binding Corporate Rules und EU-Standardverträge hat der EuGH nicht entschieden. Die Auswirkungen des Urteils auf diese Instrumente werden jetzt diskutiert.
Durchführungsbefugnis der Kommission bei Safe-Harbor überschritten
Anlass des vor dem EuGH geführten Verfahrens war die anlasslose Massenüberwachung amerikanischer Geheimdienste. Der EuGH stellte abstrakt fest, dass die generelle Speicherung der elektronischen Kommunikation nicht mit europäischem Datenschutzrecht vereinbar ist. Die Entscheidung stützt er hierauf jedoch nicht. Stattdessen erklärte der EuGH die Safe-Harbor Entscheidung für unwirksam, da die Kommission die Grenzen der ihr eingeräumten Durchführungsbefugnis aus Artikel 25 Abs. 6 DSRL überschritten hatte.
Nach Artikel 25 Abs. 6 DSRL kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Die Kommission traf in der Safe-Harbor Entscheidung jedoch überhaupt keine Feststellungen zum Schutzniveau in den USA. Stattdessen bediente sie sich einer untauglichen Hilfskonstruktion, indem sie lediglich Datenschutzgrundsätze für selbstzertifizierte US-Unternehmen aufstellte.
Feststellungsdefizit bei Safe-Harbor
Die Entscheidung leidet nach dem EuGH demnach an einem Feststellungsdefizit. Die Kommission hat es versäumt, den in den USA geltenden Datenschutzstandard zu beschreiben. Sie hätte erstens darlegen müssen, welcher Datenschutzstandard in den USA aufgrund welcher innerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen gilt. Sie hätte zweitens feststellen müssen, dass die von den USA ergriffenen Maßnahmen ein angemessenes Datenschutzniveau gewährleisten. Da die Kommission schon auf der ersten Stufe keine Feststellungen getroffen hat, blieb dem EuGH eine Bewertung des amerikanischen Datenschutzniveaus erspart. Ob das Schutzniveau in den USA mit europäischen Standards vereinbar ist, hat der EuGH nicht entschieden. Stattdessen konnte der EuGH die Safe-Harbor Entscheidung bereits ohne Prüfung des Inhalts der Safe-Harbor Grundsätze verwerfen.
Darüber hinaus erlaubt Artikel 25 Abs. 6 DSRL der Kommission keine Beschränkung der Befugnisse der Aufsichtsbehörden. Da Artikel 3 der Safe-Harbor Entscheidung die Befugnisse gleichwohl einschränkte, erklärte der EuGH auch diesen Artikel für ungültig.
Keine Verwerfungskompetenz der Aufsichtsbehörden
Das Urteil des EuGH erklärt ausschließlich die Safe-Harbor Entscheidung der Kommission für ungültig. Die Entscheidungen der Kommission über Standardvertragsklauseln (bspw. Beschluss 2010/87/EU – Standardvertragsklauseln-ADV) bleiben durch das Urteil unberührt. Derartige Entscheidungen (nach heutiger Terminologie Beschlüsse) sind nach Artikel 288 Abs. 4 AEUV in allen ihren Teilen verbindlich. Sie genießen Anwendungsvorrang vor sämtlichen nationalen Rechtsvorschriften. Weder die Aufsichtsstellen noch die nationalen Gerichte können die Beschlüsse der Kommission für unwirksam erklären. Die alleinige Verwerfungskompetenz des Gerichthofs betont der EuGH gleich mehrfach (EuGH, C-362/14, Rz. 52, 61, 62).
Die Beschlüsse über EU-Standardverträge können daher auch nach der Entscheidung des EuGH nicht durch die Aufsichtsbehörden für ungültig erklärt werden. Wird die Rechtmäßigkeit der Beschlüsse in einem gerichtlichen Verfahren angezweifelt, so muss das Gericht das Verfahren aussetzen und dem EuGH die Frage zur Entscheidung vorlegen.
Keine Genehmigungsbedürftigkeit bei EU-Standardverträgen
Datenexporte in ein außereuropäisches Land ohne angemessenes Schutzniveau bedürfen grundsätzlich der Genehmigung (Artikel 26 Abs. 2 DSRL). In Deutschland ist die Genehmigungsbefugnis nach § 4c Abs. 2 BDSG den zuständigen Aufsichtsbehörden zugewiesen. Genehmigungsfähig ist eine Datenübermittlung, wenn die für die Datenübermittlung verantwortliche Stelle ausreichende Garantien für den Schutz der Daten vorweisen kann. Solche Garantien können sich insbesondere aus vertraglichen Vereinbarungen zwischen Datenexporteur und -importeur ergeben. Die Aufsichtsbehörden haben daher zu prüfen, ob die dem Datenimporteur vertraglich auferlegten Pflichten einen ausreichenden Schutz gewährleisten.
Verwenden Datenimporteur und –exporteur die EU-Standardvertragsklauseln, so gelten die dort auferlegten Pflichten kraft rechtlicher Anordnung als ausreichende Garantien im Sinne des Artikel 26 Abs. 2 DSRL (bspw. Artikel 1 der Standardvertragsklauseln-ADV). Dieser aus europäischem Recht folgenden Anordnung ist nach dem Grundsatz der Unionstreue effektiv Geltung zu verschaffen. Für die Erteilung von Genehmigungen durch die Aufsichtsbehörden verbleibt daher kein Raum, sofern EU-Standardverträge verwendet werden.
An diesem Grundsatz ändert auch die Safe-Harbor Entscheidung des EuGH nichts. Der EuGH betont stattdessen, dass die Aufsichtsbehörden keine der Entscheidung zuwiderlaufenden Maßnahmen treffen dürfen, solange eine Entscheidung der Kommission in Kraft ist (EuGH, C-362/14, Rz. 52).
Auch nach der Entscheidung des EuGH bedürfen EU-Standardvertragsklauseln daher keiner Genehmigung durch die Aufsichtsbehörden. Falls Datenimporteur und –exporteur jedoch von den EU-Standardvertragsklauseln abweichen, etwa um eine andere Haftungsregelung zu treffen, ist eine Genehmigung durch die Aufsichtsbehörden erforderlich. In diesem Fall ist damit zu rechnen, dass entsprechende Genehmigungsanträge abschlägig beschieden werden. Eine Neuigkeit ist dies jedoch nicht. Bereits nach dem Bekanntwerden des NSA-Skandals hatten die Datenschutzbeauftragten des Bundes und der Länder erklärt, zukünftig „keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten“ zu erteilen.
Gestärkte Prüfungskompetenz der Aufsichtsbehörden
Die Aufsichtsbehörden dürfen Beschlüsse der Kommission nicht verwerfen, sie müssen sie aber prüfen. Eine Aufsichtsbehörde kann ihre Prüfungstätigkeit nicht einfach mit dem Verweis auf einen Beschluss der Kommission einstellen. Selbst wenn ein angemessenes Datenschutzniveau durch einen Beschluss der Europäischen Kommission feststeht, haben die Aufsichtsbehörden in vollständiger Unabhängigkeit zu überprüfen, ob der Beschluss seinerseits mit höherrangigem Unionsrecht vereinbar ist (EuGH, C-362/14, Rz. 63).
Der EuGH betont nicht nur die Prüfungskompetenz der Aufsichtsbehörden, er weist ihnen auch die Prüfungspflicht zu. Aus Gründen der Rechtssicherheit geht die Prüfungskompetenz aber nicht mit der Verwerfungskompetenz einher. Letztere kommt nur dem EuGH zu.
Für die EU-Standardverträge gilt nichts Anderes. Die Aufsichtsbehörden werden in vollständiger Unabhängigkeit zu überprüfen haben, ob die Beschlüsse der Kommission mit höherrangigem Recht – insbesondere den Grundrechten – vereinbar sind. Verwerfen dürfen sie sie nicht.
Reaktionen der Aufsichtsbehörden
In einer ersten Stellungnahme zur Safe-Harbor Entscheidung hat die Artikel-29-Arbeitsgruppe, der Zusammenschluss der europäischen Aufsichtsstellen, angekündigt, Datenexporte aufgrund von Binding Corporate Rules und EU-Standardverträgen vorerst weiter zu dulden. Gleichzeitig setzt die Artikel-29-Arbeitsgruppe eine Frist bis Ende Januar 2016. Sollte bis dahin keine Lösung mit den amerikanischen Behörden erzielt werden, würden „koordinierte Vollzugsmaßnahmen“ ergriffen. Maßnahmen zum Schutz Betroffener, beispielsweise auf der Basis von Beschwerden, könnten aber schon jetzt ergriffen werden.
Als erste deutsche Aufsichtsbehörde hat das unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein in einem Positionspapier angekündigt, bereits jetzt zu prüfen, ob Datenübermittlungen in die USA per verwaltungsrechtlicher Anordnung zu verbieten seien.
Die Aufsichtsbehörden könnten sich, so das ULD, nach der Safe-Harbor Entscheidung auf die in den EU-Standardverträgen enthaltenen Untersagungsbefugnisse berufen. Beispielsweise erlaube Artikel 4 Abs. 1 der Auftragsdatenverarbeitung-ADV die Datenübermittlung in Drittländer zu verbieten oder auszusetzen. Ob die Voraussetzungen für eine Aussetzung nach der Safe-Harbor Entscheidung vorliegen, wird noch weiter zu diskutieren sein. Jedenfalls handelt es sich bei den Untersagungsbefugnissen um Ausnahmeregelungen. Für Allgemeinverfügungen, mit der pauschal alle Datenübertragungen aufgrund von EU-Standardverträgen suspendiert werden, eignen sie sich nicht. Die Aufsichtsbehörden werden daher für jede Datenübermittlung einzeln zu prüfen, ob wirklich alle Voraussetzungen der Untersagungsbefugnis gegeben sind.
Im ersten gemeinsamen Positionspapier der deutschen Aufsichtsbehörden wird ebenfalls die Prüfungsbefugniss der Aufsichtsbehörden nach Artikel 4 Abs. 1 Auftragsdatenverarbeitung-ADV betont. Eine Untersagung von Datenübertragungen aufgrund von EU-Standardverträgen und Binding Corporate Rules wird aber (noch) nicht angekündigt. Es bleibt zu hoffen, dass die Aufsichtsbehörden zu einer einheitlichen Rechtsanwendung gelangen. Auf die nun bestehende Rechtsunsicherheit und die damit verbundenen negativen Folgen für den digitalen Binnenmarkt wurde bereits hingewiesen.
