Mit dem Safe Harbor Urteil hat der EuGH eine Entscheidung der EU Kommission für nichtig erklärt und die Zulässigkeit transatlantischer Datenübermittlungen insgesamt in Frage gestellt. Ein Abkommen mit den USA – der EU-US-Privacy-Shield –  soll dieses Problem nun lösen. Ob das gelingt ist genauso fraglich wie die Zukunft von Datenübermittlungen in andere Drittstaaten.

1.    Die Safe Harbor Entscheidung

Mein Kollege Bernhard Freund hat zur Safe-Harbor-Entscheidung des EuGH berichtet. Seine Frage nach den bisher offenen Folgen soll in diesem Beitrag ohne Anspruch auf Vollständigkeit aufgegriffen werden. Aus der Safe-Harbor Entscheidung ergeben sich über den Wegfall einer Rechtsgrundlage für transatlantische Datenübermittlungen hinaus nämlich vielfältige und noch nicht abschließend erfasste Folgen für internationale Datenübermittlungen.

Die unmittelbare Reaktion der EU-Kommission [PDF] und etwas später auch der Bundesregierung [PDF] auf das Safe Harbor Urteil könnte man stark vereinfacht mit „es ging schon immer, es wird auch immer gehen“ zusammenfassen. So wurden insbesondere das Ausweichen auf EU-Standardvertragsklauseln zur Rechtfertigung transatlantischer Datenübermittlungen vorgeschlagen. Dies wird zumindest in Kreisen der Datenschutzaufsichtsbehörden differenzierter gesehen.

Die bayerische Aufsichtsbehörde und die hamburgische Aufsichtsbehörde [PDF] halten Übermittlungen personenbezogener Daten in die USA auf der Basis der EU-Standardvertragsklauseln bis auf weiteres für möglich, die hessische und die schleswig-holsteinische Aufsichtsbehörde sehen EU-Standardvertragsklauseln als Rechtsfertigungsgrundlage in Frage gestellt, die Aufsichtsbehörde Rheinland-Pfalz [PDF] geht sogar davon aus, dass Datenübermittlungen in die USA nun grundsätzlich genehmigungspflichtig seien.

2.    Wie es weitergeht

Die Lösung für transatlantische Datenübermittlungen soll nun ein Abkommen zwischen der EU und den USA bringen. Der EU-US-Privacy-Shield. Was dahinter steckt ist noch nicht im Detail klar. Derzeit gibt es von Seiten der EU nur eine Pressemitteilung der EU-Kommission, aus der sich ergibt, dass die EU-Kommission mit Vertretern der US Regierung eine politische Einigung über ein Abkommen zum Schutz personenbezogener Daten von EU-Bürgern in den USA erzielt habe.

Die Erwartungen der EU-Kommission sind hoch. So soll der EU-US-Privacy-Shield EU-Bürger vor der Verletzung ihrer Grundrechte (insbesondere des Rechts auf Datenschutz) schützen, wenn ihre Daten in die USA übermittelt werden, und Rechtssicherheit für betroffene Unternehmen schaffen. Erreicht werden soll dies durch

  • „robuste“ Verpflichtungen von Datenempfängern in den USA zum Schutz personenbezogener Daten“,
  • schriftliche Zusicherung der USA zu Grenzen des Zugriffs auf personenbezogene Daten durch US Behörden, die sich am Grundsatz der Erforderlichkeit und Verhältnismäßigkeit orientieren sollen und regelmäßig überprüft werden und
  • effektiven Rechtsschutz für EU Bürger durch
    • Pflichten der Datenempfänger in den USA zur Reaktion auf Beschwerden,
    • die Möglichkeit Beschwerden über nationale Datenschutzaufsichtsbehörden an die Federal Trade Commission zu richten,
    • für EU Bürger kostenlose außergerichtliche Beschwerdeverfahren und einen Ombudsmann für Beschwerden wegen des Zugriffs von US-Geheimdiensten.

 

Die USA sollen nun mit der Umsetzung dieser Zusagen beginnen, während die EU Kommission eine neue Angemessenheitsentscheidung vorbereitet und sich dazu mit der Artikel-29-Gruppe und Vertretern der EU-Mitgliedsstaaten abstimmt. Dieser Prozess soll dann in etwa drei Monaten abgeschlossen sein.

3.    Rechtsrisiken bleiben

Für transatlantische Datenübermittlungen soll damit wieder Rechtssicherheit herrschen. Der EuGH hat hierfür jedoch hohe Anforderungen aufgestellt. So müssen die USA nicht weniger als ihre allgemeine Praxis zur Datenauswertung im Interesse der nationalen Sicherheit, des öffentlichen Interesses und zur Durchführung von Gesetzen umstellen. Statt einer anlasslosen Speicherung und Auswertung von Daten der EU-Bürger durch US-Behörden und Dienste müssten nun gesetzliche Ermächtigungen geschaffen werden, die sich am Grundsatz der Erforderlichkeit und Angemessenheit nach europäischem Maßstab orientieren.

Der EU-US-Privacy-Shield dürfte jedenfalls keinen Bestand haben, wenn diese hohen Anforderungen nicht erfüllt werden. Der EuGH hat nämlich die europäischen Aufsichtsbehörden berechtigt und verpflichtet, diese Anforderungen im Einzelfall und grundsätzlich unabhängig von einer Entscheidung der EU-Kommission zu prüfen. Soweit sie zu dem Schluss kommen, dass eine neue Angemessenheitsentscheidung diesen Anforderungen nicht genügt, müssen sie dies im Zweifel vor den nationalen Gerichten geltend machen, was mittelbar zu einer erneuten Entscheidung des EuGH im Wege einer Vorabentscheidung führen würde. So heißt es im Safe-Harbor-Urteil des EuGH (Rn. 57 und 65):

„Auch wenn die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richtlinie getroffen hat müssen die nationalen Kontrollstellen […] prüfen können, ob bei der Übermittlung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. […] Hält die Kontrollstelle die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, […] für begründet, muss sie […] ein Klagerecht haben. Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.“

Ob der EU-US-Privacy-Shield in ihn gesteckte Erwartungen erfüllt und Rechtssicherheit für die transatlantische Übermittlung personenbezogener Daten schafft, bleibt also abzuwarten.

4.    Auswirkungen auf andere Datenübermittlungen

Denkt man die Entscheidung des EuGH konsequent weiter, so müssten Datenschutzaufsichtsbehörden auch Datenübermittlungen auf der Basis anderer Rechtfertigungsmechanismen – etwa den EU Standardvertragsklauseln – im Einzelfall und unabhängig von einer Kommissionsentscheidung prüfen und ggf. gerichtlich kontrollieren lassen. Soweit deutsche Aufsichtsbehörden sich zur Möglichkeit der Rechtfertigung von Datenübermittlungen in die USA auf Basis der EU-Standardvertragsklauseln bekennen, ist dies aus Sicht betroffener Unternehmen zu begrüßen – dass dies so bleibt, ist jedoch nicht sicher.

Doch damit nicht genug. Die USA sind nicht der einzige Staat, in dem es Befugnisse für Behörden und Dienste zur Auswertung personenbezogener Daten gibt, die wohl nicht ohne weiteres der europäischen Vorstellung von Erforderlichkeit und Angemessenheit entsprechen. Damit stellt sich die Frage, ob wir erst am Anfang einer Neuordnung der rechtlichen Anforderungen an internationale Datenübermittlungen stehen und es künftig zusätzlich zu sicheren und unsicheren Drittstaaten auch Drittstaaten gibt, in die personenbezogene Daten selbst mit zusätzlichen Schutzmaßnahmen nicht mehr übermittelt werden dürfen.

Dass Russland, China oder Nordkorea sich gegenüber der EU verpflichten, europäische Datenschutzstandards bei der Auswertung von personenbezogenen Daten von EU Bürgern zu beachten, dürfte jedenfalls zeitnah nicht zu erwarten sein.

5.    Was bleibt zu tun?

Unternehmen in Deutschland sollten diese Entwicklungen im internationalen Datenschutzrecht im Blick behalten und an die rechtlichen Risiken angepasste Strategien zur Reaktion entwickeln. Dafür sollten sie ihre Datenflüsse analysieren und dann für potentiell kritische Übermittlungen prüfen, ob es technische oder rechtliche Gestaltungsalternativen gibt, um auf Entwicklungen angemessen reagieren zu können. Hierzu zählt z.B. die Prüfung, ob bei Auftragsdatenverarbeitung eine für den Anbieter nicht auflösbare Verschlüsselung oder jedenfalls Pseudonymisierung eingesetzt werden kann. Für den Fall der Fälle sollte geklärt werden, ob grundsätzlich die Möglichkeit eines Anbieterwechsels besteht oder eine Lock-In-Situation vorliegt. Kurzfristig ist davon auszugehen, dass sich der Fokus der Aufsichtsbehörden auf Datenübermittlungen in die USA richten wird. Hier sollten Unternehmen daher vorrangig ansetzen, sodann aber auch Datenübermittlungen in weitere Staaten entsprechend einer zu entwickelnden Risikoklassifizierung einbeziehen.