Fachartikel & News

Daten­schutz: Die Safe-Harbor- Entscheidung des EuGH

Der Europäische Gerichtshof (EuGH) hatte mit dem viel beach­teten Urteil vom 6. Oktober 2015 nach Vorlage des irischen High Courts entschieden, dass das Safe-Harbor-Abkommen kein aus europäi­scher Sicht angemes­senes Daten­schutz­niveau bildet und die (irische) Daten­schutz-Aufsichts­be­hörde die recht­liche Befugnis hat, eine Daten­über­mittlung auf Basis des Safe-Harbor-Abkommens zu unter­sagen.


Sachverhalt

Dem Urteil ist eine Beschwerde des Öster­rei­chers Max Schrems voraus­ge­gangen, ob die irische Daten­schutz­be­hörde prüfen muss, ob Facebook perso­nen­be­zogene Daten in die USA übertragen darf. Die Behörde hielt sich nicht für zuständig, dies zu prüfen. Zum einen sei Facebook den Safe-Harbor-Regeln unter­worfen und zum anderen würde Facebook die Safe-Harbor- Bedin­gungen einhalten.

Hinter­grund

Die Übermittlung von perso­nen­be­zo­genen Daten in ein außer­eu­ro­päi­sches Land ist nach dem Daten­schutz­recht nur dann erlaubt, wenn dort ein angemes­senes Schutz­niveau für die Daten gewähr­leistet ist. In den USA bestand kein angemes­senes Daten­schutz­niveau. In Staaten ohne ein angemes­senes Daten­schutz­niveau kann ein solches dennoch angenommen werden, wenn eine Verein­barung mit der EU besteht, die ein angemes­senes Daten­schutz­niveau sicher­stellt. Dabei muss sich die Daten empfan­gende Stelle der Verein­barung unter­werfen. Das Safe-Harbor-Abkommen ist eine solche Verein­barung.

Proble­ma­tisch ist vor allem der US Patriot Act, der ameri­ka­ni­schen Ermitt­lungs­be­hörden weitrei­chende Eingriffs­rechte gibt. Das Safe-Harbor-Abkommen hat der EuGH schließlich für unwirksam erklärt. Damit entfällt die Vermutung der Einhaltung der europäi­schen Daten­schutz­re­ge­lungen und das Safe-Harbor-Abkommen stellt keine ausrei­chende Grundlage für eine Daten­über­tragung in die USA durch Unter­nehmen wie Facebook mehr dar.

In seiner Presse­mit­teilung vom 6. Oktober teilte der EuGH abschließend mit: „Dieses Urteil hat zur Folge, dass die irische Daten­schutz­be­hörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Unter­su­chung entscheiden muss, ob nach der Richt­linie die Übermittlung der Daten der europäi­schen Nutzer von Facebook in die Verei­nigten Staaten auszu­setzen ist, weil dieses Land kein angemes­senes Schutz­niveau für perso­nen­be­zogene Daten bietet.“

Praktische Konse­quenzen

Sämtliche ameri­ka­ni­schen Anbieter von Online-Tools – um einige bekannte Unter­nehmen zu nennen wie Amazon Cloud Services, Apple, Dropbox, Google, Mailchimp Microsoft, Sales­force oder Skype – sind betroffen. Entscheidend ist jedoch, ob perso­nen­be­zogene Daten in die USA übertragen werden. Beispiele für Anbieter, die perso­nen­be­zogene Daten übertragen, sind Cloud-Anbieter, Anbieter von Hosting-Systemen und von Webseiten-Analy­se­tools.

Die Anbieter reagieren nun auf verschie­denen Wegen. So wird Microsoft die Dienste Azure, Office 365 und CRM Online zukünftig auch aus zwei deutschen Rechen­zentren anbieten, deren Zugang T-Systems wird dabei als Treuhänder überwachen wird. Andere Anbieter bieten häufig den Abschluss von Standard­ver­trags­klauseln an.

Alter­na­tiven zum Safe-Harbor-Abkommen

Um ein angemes­senes Daten­schutz­niveau sicher­zu­stellen, gibt es verschiedene Möglich­keiten. Die in der Fachli­te­ratur am meisten benannten Alter­na­tiven sind:

  • die ausdrück­liche Einwil­ligung der Daten­über­mittlung in die USA,
  • die Verwendung von EU-Standard­ver­trags­klauseln, mit denen sich der Dienst­leister vertraglich den wesent­lichen Regelungen der EU zum Daten­schutz unter­wirft oder
  • der Einsatz von Dienst­leistern, die Daten in der EU, dem EWR oder in sicheren Dritt­ländern speichern. Dies erfolgt durch Verwendung von Binding Corporate Rules, also der rechtlich verbind­lichen Imple­men­tierung von Unter­neh­mens­re­ge­lungen (Privacy Policy) zum Umgang mit perso­nen­be­zo­genen Daten im Konzern.

Erste Handlungs­emp­feh­lungen

Als ersten Schritt sollten Sie sich eine Liste der Dienst­leister erstellen, die perso­nen­be­zogene Daten in die USA auf Grundlage des Safe-Harbor-Abkommens übermitteln. Die EU-Daten­schutz­be­hörden haben eine Art Schon­frist bis Ende Januar 2016 ausge­sprochen und Standard­ver­trags­klauseln ausdrücklich als zunächst weiterhin verwendbar erklärt. Die Positio­nierung der deutschen Daten­schutz­auf­sichts­be­hörden, die bisher unein­heitlich war, sollte unbedingt beobachtet werden. So hatte Anfang Oktober 2015 das Unabhängige Landes­zentrum für Daten­schutz (ULD) aus Schleswig-Holstein Bedenken gegen die von der EU-Kommission empfoh­lenen Ausweich­maß­nahmen geäußert.

In einem Positi­ons­papier hat die Konferenz der unabhän­gigen Daten­schutz­be­hörden des Bundes und der Länder vom 21.10.2015 Unter­nehmen aufge­fordert, unver­züglich ihre Verfahren zum Daten­transfer daten­schutz­ge­recht zu gestalten. Leider bleibt im Positi­ons­papier offen, wie dies in der Praxis erfolgen soll. Aber auch Bundes­re­gierung, Bundestag, Kommission, Rat und Parlament der EU wurden aufge­fordert, für Rechts­si­cherheit zu sorgen. Die Konferenz hat zudem angekündigt, ausschließlich auf Safe Harbor gestützte Daten­über­mitt­lungen in die USA zu unter­sagen und stellt auch die Zuläs­sigkeit der Daten­transfers in die USA auf der Grundlage der anderen hierfür einge­setzten In­strumente wie die Standard­ver­trags­klauseln oder die verbind­lichen Unter­neh­mens­re­ge­lungen infrage.


Bei Fragen sprechen Sie uns gerne an.

This is a unique website which will require a more modern browser to work! Please upgrade today!