activeMind AG - EuGH-Urteil - Safe Harbor gekippt

Der Europäische Gerichtshof (EuGH) hat die Vereinbarung mit den USA zum Datenaustausch für ungültig erklärt. Unternehmen können sich nun nicht mehr auf das Safe-Harbor-Abkommen berufen. Das verursacht dringenden Handlungsbedarf. Was müssen Sie als Unternehmer jetzt tun?

Vernichtendes Urteil des EuGH

Schon lange wurde hinter vorgehaltener Hand darüber spekuliert, nun ist es mit dem Urteil des EuGH vom 6. Oktober 2015 wahr geworden: Das Safe-Harbor-Abkommen zwischen der EU-Kommission und den USA, das den Schutz persönlicher Daten auf eine gemeinsame Ebene bringen sollte, ist für unwirksam erklärt worden.

In seinem Urteil bezieht sich der EuGH im Kern auf die Offenlegungen und Folgen des NSA-Skandals. Hier wurde bekannt, dass von US-Stellen mehr oder weniger vorbehaltlos und massenhaft persönliche Daten aus allen möglichen Quellen gespeichert und ausgewertet werden können. Hiergegen bestehen noch nicht einmal angemessene Rechtsschutzmöglichkeiten. Der Gerichtshof stellte klar, dass damit ein dem Niveau der EU vergleichbares Datenschutzniveau in den USA nicht gegeben ist. Das Recht auf informationelle Selbstbestimmung wird nicht gewahrt – und sogar de facto verletzt.

Damit kann ab sofort für einen Datenaustausch mit den USA nicht mehr auf Safe Harbor zurückgegriffen werden. Das betrifft ca. 4000 in den USA ansässige Unternehmen*, die unter dem Safe-Harbor-Abkommen Daten von EU-Bürgern in die USA transferieren.

Datenschutzrechtliche Folgen des Safe-Harbor-Urteils

1. Vorab: Safe Harbor war nie eine Rechtsgrundlage für den Datenaustausch!

Zunächst muss klargestellt werden, dass, entgegen allem Irrglauben und Behauptungen von Anbietern, Safe Harbor nie den Datenaustausch erlaubt hat. Ein Austausch von Daten mit Ländern außerhalb der EU oder des EWR musste und muss auf eine eigene rechtliche Erlaubnis gestützt werden.

2. Safe Harbor sollte einen angemessenen Datenschutzstandard sicherstellen

Safe Harbor konnte lediglich helfen, die unterschiedlichen Datenschutzstandards der EU und USA auf ein gemeinsames Level zu bringen und damit eine zusätzliche gesetzliche Hürde zu beseitigen. Selbst ein an sich erlaubter Transfer von Daten ist untersagt, wenn beim Empfänger kein angemessenes Datenschutzniveau besteht. Eine wirksame (!) Safe-Harbor-Zertifizierung konnte diese Anforderung bisher erfüllen und einem Datenaustausch mit US-Unternehmen stand nichts im Wege, solange eine Rechtsgrundlage vorlag. Mit der festgestellten Unwirksamkeit lebt die zweite Hürde nun aber wieder wirksam auf.

Was sollten vom Safe-Harbor-Urteil betroffene Unternehmen tun?

Der Wegfall von Safe Harbor wird vielen Unternehmen und Internetnutzern Kopfzerbrechen bescheren. Es sei hier vor allem auf US-Cloud-Anbieter wie Dropbox hingewiesen. Vergleichbare Services stützen sich vielfach auf Safe Harbor. Auf den ersten Blick scheint damit eine Nutzung von US-Dienstleistern derzeit nicht mehr möglich. Was also ist zu tun?

Alternativen zur geschassten Safe-Harbor-Regelung stehen bereit. Das BDSG erlaubt unter gewissen Voraussetzungen einen Datenaustausch zwischen Datenexporteur und -importeur, etwa wenn ein vertraglich zugesicherter Datenschutzstandard gewährleistet wird. Letzteres kann grundsätzlich durch Verwendung der sog. EU-Standardvertragsklauseln oder aber durch Einzelverträge erreicht werden. (Bitte aber hier die Hinweise im letzten Abschnitt beachten!)

Empfehlenswerte Variante: EU-Standardvertragsklauseln

Die Europäische Kommission stellt vorformulierte Verträge zum Datenaustausch zur Verfügung, die alle wesentlichen Voraussetzungen des Datenschutzes erfüllen. Ein nicht zu vernachlässigender Vorteil ist dabei, dass es hier keiner weiteren Genehmigung durch die Datenschutzbehörde bedarf – unter der Bedingung, dass die Texte unverändert übernommen und eingesetzt werden. Offen ist natürlich die Frage, ob US-Unternehmen diese dann individuell durchsetzbaren Bedingungen akzeptieren werden.

Mehr dazu finden Sie in unserem Artikel zu EU-Standardvertragsklauseln für den internationalen Datenverkehr.

Weitere Variante: Einzelverträge über Datenschutzregeln

Möglich ist es auch, sich sonst einzelvertraglich auf ausreichende Datenschutzregeln zu einigen. Allerdings unterliegen von den Standardklauseln abweichende Vereinbarungen der Genehmigung der Datenschutzbehörden. Dies bedeutet Erschwernisse. Unnötig zu erwähnen, dass diese Verträge einen hohen Datenschutzstandard gewährleisten müssen, um nicht mit dem durch EU-Recht anerkannten Recht auf informationelle Selbstbestimmung zu kollidieren.

Was kommt nach Safe Harbor?

Aktuell völlig ungelöst bleibt das übergeordnete Problem, dass eine Vereinbarung zwischen Unternehmen keine Auswirkungen auf den rechtlichen Rahmen haben kann, in dem sich US-Unternehmen bewegen. Nach wie vor bestehen ja die Befugnisse neugieriger US-Stellen, ganz unabhängig davon, welche Art Vereinbarung mit diesen besteht. Egal ob Safe Harbor, individuelle Vereinbarung oder Binding Corporate Rules (BCR) – US-Unternehmen unterliegen aus europäischer Sicht datenschutzwidrigen Regelungen des US-Rechts. Diesen in der EuGH-Entscheidung ausdrücklichen Hinderungsgrund können nur die USA selbst beseitigen. Man muss hier abwarten, welche weiteren Konsequenzen das haben wird. Es ist nicht ausgeschlossen, dass Datenverkehr jeder Art und auf jeder Basis mit US-Unternehmen hiermit in Frage gestellt wird.

Daten, die in die USA übermittelt wurden, müssen nun wohl nicht zwingend sofort aus amerikanischen Cloud-Umgebungen zurückgeholt werden. Es sollte vorher versucht werden, wenigstens die Standardvertragsklauseln mit dem jeweiligen Dienstleister zu vereinbaren. Nur wenn das scheitert, muss dringend über einen Abzug der Daten nachgedacht werden. Da die Datenschutzbehörden ab sofort wesentlich genauer hinsehen dürften, ist es ratsam sich schnellstmöglich um eine Basis für den Austausch zu bemühen.

Bitte bewerten Sie diese Inhalte!
[28 Bewertung(en)/ratings]

* Einen Überblick über die Unternehmen finden Sie online unter: https://safeharbor.export.gov/list.aspx